Post on 02-Feb-2016
22/04/23
ADMINISTRACION SEGURIDAD ADMINISTRACION SEGURIDAD INFORMATICAINFORMATICA
22/04/23
CL
IEN
TE
S
CL
IEN
TE
S
Red LAN / WANRed LAN / WAN
BASES de BASES de DATOSDATOS(Logicas)(Logicas)
AP
LIC
AC
ION
ES
AP
LIC
AC
ION
ES
TR
AN
SP
OR
TE
CalculosMotor de Ejecución
Log´sLog´sServidor deServidor de SeguridadSeguridad
DataWarehouseDataWarehouseCorreo, etc.Correo, etc. TransaccionalesTransaccionales
ConfiguracionesConfiguraciones
Interfaces
Reglas delNegocio
Reglas de Seguridad
Clientes Externos
Clientes Moviles
Clientes Internos
Autenticación
Antivirus
ACL´s
Monitoreo
Autorización
Auditabilidad
Encripción
Encripción
Encripción
Antivirus
Monitoreo
Administración
Checksum
Arquitectura de Sistemas con aseguramiento
Areas encargadas de toda la Seguridad Informática
Pru
ebas
de
Vu
lner
abili
dad
22/04/23
TelecomunicacionesTelecomunicaciones
Sistema Operativo / PlataformaSistema Operativo / Plataforma
Base de DatosBase de Datos
AplicaciónAplicación
Enfocadas en la Enfocadas en la seguridad de las seguridad de las
AplicacionesAplicaciones
Enfocadas en la seguridad y uso de Enfocadas en la seguridad y uso de mejores prácticas a nivel de mejores prácticas a nivel de
Dispositivos de RedDispositivos de Red
Enfocadas en la seguridad Enfocadas en la seguridad y uso de mejores y uso de mejores
prácticas a nivel de prácticas a nivel de Sistema Operativo o Sistema Operativo o
PlataformaPlataforma
Enfocadas en la integridad Enfocadas en la integridad y aseguramiento de las y aseguramiento de las
Bases de DatosBases de Datos
Enfoque de la seguridad
22/04/23
Gestión de la Seguridad informatica
EstándaresEstándares Productos desplegados Productos desplegados Desarrollos propiosDesarrollos propios
Políticas de seguridad Políticas de seguridad Gestión de Gestión de actualizaciones actualizaciones Gestión de cambiosGestión de cambios Prevención de riesgosPrevención de riesgos AuditoriasAuditorias
ConcienciaciónConcienciación FormaciónFormación
PersonasPersonas
Tecnología
TecnologíaProc
esos
Proc
esos
22/04/23
ERPE-mail
Dire
cto
ry
SecurityP
KI
Knowledge
HubsTreinamento On-Line
Smart Cards
Vídeo Conferencia
Criptografia
SV
PN
LAN/WAN
Firewall
Extranet
Pro
tocolo
s
Software Standards
Voi
ce Integrated Communications
Document Management
Database
Desktop Refresh
Servidores
NetworkServices
Intr
anetLegacy-to-Web
Outsource
Data
M
anagem
en
t Switches e Hubs
Antecedentes
ISO17799
Cambio de Cultura
M-banking seguro
22/04/23
SeguridadIntroducción
Los recursos informáticos están sujetos a amenazas generadas por diferentes tipos de riesgos a los que están expuestos.
Es necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas para mitigar o disminuir los riesgos.
La seguridad involucra el establecimiento de un sistema de control para proporcionar confidencialidad, integridad y disponibilidad de la información.
1
22/04/23
Areas de ataque a recursos informaticosAreas de ataque a recursos informaticos
Nuestros RecursosAplicaciones, Datos,
Comunicaciones,Propiedad Intelectual,
Documentos Confidenciales
Ataques a S.O
Ataques a servicios
Ataques a aplicaciones
Dispositivos de Red
Fuerza Bruta
Ataques de Correo
Gusanos
Ataques de Virus
Spyware
Denegación de Servicios
Accesos Remotos
22/04/23
PCs
Server
BD
Server
BD
Móviles
Interfases
RED
WAN
Oficinas
Internet
Usuario remotoInterno
ExternoPortátiles
Hand HeldsSmart Phones
Infraestructura tecnológica
22/04/23
Repercusiones de la transgresión de seguridad
Pérdida de beneficios
Deterioro de la confianza del
inversor
Perjuicio de la reputación
Pérdida o compromiso de seguridad de los datos
Interrupción de los procesos empresariales
Deterioro de la confianza del
clienteConsecuencias
legales
22/04/23
Contenido Web Malicioso
Ataques a desborde de Buffers
Ataques dirigidos a
Puertos
Correos o adjuntos Maliciosos
Modelos de ataques
22/04/23
01 Auditoria
2 Políticas y Estructura
3 Soluciones informaticas
4
Emprender en forma modular el paso a paso para la construcción de un ambiente seguro
Levantamiento de informacion
Construcción de un ambiente seguro
Concientizacion y entrenamiento
56
7
Automatizacion de las soluciones
Auditorias Periódicas
Proceso de Mejoramiento Contínuo
22/04/23
Seguridad en la firma Digital
Alice Bob
firma firmado
textoplano
textoplano
Llave privadade Alice
Llave públicade Alice
Bob chequeaLa firma
textoplano
22/04/23
PeoplesoftPeoplesoft
InternetInternet
Top SecretTop Secret
SIEBELSIEBELSAPSAP
NT/NT/W2K/W2K/UNIXUNIX MS-MS-
ExchangeExchange
WebWebFarmFarm
Controle Controle de de
Acesso Acesso na Webna Web
Cliente GUI Cliente GUI AdminAdmin
ArborArbor
Administração de Administração de perfis de Auto-perfis de Auto-
atendimentoatendimento
GUI GUI Totalmente Totalmente FuncionalFuncional
Usuário Usuário FinalFinal
Administração Administração
DelegadaDelegada
Auto-Auto-atendimento na atendimento na Reconfiguração Reconfiguração
de senhade senha
Entrada Entrada AutomatizadaAutomatizada
Usuário Usuário FinalFinal
IntranetIntranet
Rede Rede InternaInterna
Arquitetura tecnologica
22/04/23
Usuario Remoto Potencialmente InfectadoUsuario Local
Potencialmente Infectado
Agentes de Ataque a Empresas
22/04/23
22/04/23
Compromiso del nivel de seguridad física
Instalar código malintencionado
Quitar hardware
Dañar el hardwareVer, cambiar o quitar archivos
22/04/23
Descripción del ambiente
Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet
Los perímetros de red incluyen conexiones a:
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámbrica
Usuario remoto
Internet
22/04/23
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámbrica
Usuario remoto
Internet
Compromiso de seguridad del ambiente
Ataque a la red corporativa Ataque a los usuarios
remotos Ataque desde un socio
comercial Ataque desde una sucursal Ataque a servicios Internet Ataque desde Internet
El compromiso de seguridad en el perímetro de red puede resultar en:
22/04/23
Aseguramiento del ambiente informatico
Servidores de seguridad Bloqueo de puertos
de comunicación Traducción de direcciones
IP y puertos Redes privadas virtuales Protocolos de túnel Cuarentena en VPN
La protección del perímetro de red incluye:
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámbrica
Usuario remoto
Internet
22/04/23
Compromiso de seguridad del ambiente interno
Acceso no autorizado a los
sistemas
Rastreo de paquetes desde
la red
Puertos de comunicación inesperados
Acceso a todo el tráfico de red
Acceso no autorizado a redes
inalámbricas
22/04/23
Principios de la Seguridad Principios básicos:
Confidencialidad Integridad Disponibilidad Auditabilidad
Mecanismos aplicados: Autenticación Autorización Administración No repudiación Control de acceso Encripción
22/04/23
Mecanismo: Autorización
Administración de recursos Periféricos Directorios, etc.
Archivos Operaciones
Perfiles Niveles de Sensibilidad
ACL’s Horarios y holgura Privilegios
22/04/23
Mecanismo: Administración
Políticas Usuarios autorizados Relación entre usuarios y recursos
22/04/23
Mecanismo: Auditabilidad y Registro
Verificación de reglas de autenticación y autorización
Monitoreo de pistas Ocasional Periódico Permanente
Alertas
22/04/23
Objetivos
Diseñar controles de acceso y estándares que permitan el uso racional de los recursos informáticos al igual que la integridad de la información, buscando:
Identificación y autenticación de los usuarios.
Autorización de acceso a la información.
Encriptado de los datos confidenciales.
Backups automatizados y confiables.
Estimular y facilitar la creación de una cultura de seguridad en informática.
Garantizar la adecuada protección fisica de los recursos informáticos.
2
22/04/23
Identificar el nivel de sensibilidad de la información y establecer responsabilidades por su manejo.
Informar a los empleados de las politicas de seguridad.
Definir los requerimientos mínimos de seguridad, de acuerdo con la sensibilidad de la información involucrada.
Definir atributos de seguridad para la información, los cuales se deben preservar cuando se comparta la información con otras entidades.
Garantizar la continuidad de las operaciones, ante una situación crítica de suspensión del servicio informático.
3
Objetivos
22/04/23
Objetivos
Maximizar el valor estratégico del sistema de información sosteniendo los esquemas de autorización y seguridad en permanente operación, siguiendo y analizando las conductas seguidas por los usuarios.
Asignar claramente las responsabilidades en caso de usos inaceptables o no autorizados.
Promover medidas de seguridad en busca de mantener la integridad del sistema de información.
Asegurar que los usuarios autorizados y las demás personas involucradas con el manejo de la seguridad tienen conocimiento sobre las normas legales que afectan el tipo de información manejada. 4
22/04/23
Roles y Responsabilidades
Dirección de Sistema Desarrolladores Soporte Seguridad Informática Administración del
Sistema Operación Usuarios Jefes de Area Entidades Externas
5
Administrador de la Base de Datos
Director del Centro de Computo
Dirección Nacional, Oficinas o Sucursales
Administrador de la red
22/04/23
Políticas Generales
Fortalecer la formación del empleado en materia de seguridad informática.
Establecer programas de inducción para los empleados.
Establecer la función de administración de seguridad en informática.
Garantizar que el Sistema Operativo, las Aplicaciones, las Bases de Datos y las comunicaciones con los que se trabaja ofrezcan los estándares de seguridad aceptables.
7
22/04/23
Políticas Generales
Proteger los recursos informáticos mediante medidas de seguridad física.
Limitar el uso de los recursos informáticos a los usuarios autorizados.
Mantener un inventario de hardware y software instalado en los diferentes equipos.
Desarrollar o adquirir un software que detecte o evite instalación de software no autorizado.
Delimitar responsabilidades y funciones. Revisar periódicamente el ambiente de
seguridad informática.
8
22/04/23
Normas de Seguridad
5.1 Ambiente Organizacional
5.2 Seguridad Física 5.3 Seguridad Lógica
5.3.1 Sistema Operativo 5.3.2 Base de Datos 5.3.3 Aplicación
9
22/04/23
Las Políticas de seguridad deben ser difundidas y apoyadaspor las altas directivas. La seguridad debe entenderse como un conjunto
homogéneo y coordinado de medidas aplicables a toda la organización.
Composición y responsabilidades de funcionarios de sistemas
Manejo adecuado de políticas de personal Evaluación de los usuarios Revisión del cumplimiento de la normatividad interna Políticas de mantenimiento de los equipos del sistema Identificación de los equipos informáticos y pólizas de
seguridad Panorama o mapa de riesgos de la organización. 10
Normas de SeguridadAmbiente Organizacional
22/04/23
Acceso Físico a Formatos especiales Acceso Físico a los Recursos Informaticos Acceso al Centro de Computo Acceso a Reportes y Medios Magnéticos Acceso Remoto Demarcación Física de Zonas Salas de computo o centros de
procesamiento de datos Seguras
11
Normas de SeguridadSeguridad Fisica
22/04/23
Espacios de Servicios Almacenamiento de Respaldos Magnéticos Respaldo Eléctrico Acceso a Zonas Restringidas Prevención de Contingencias
12
Normas de SeguridadSeguridad Fisica
22/04/23
Control de Acceso al Sistema.
Acceso a Datos en Producción
Uso de Contraseñas Estaciones de Trabajo Movimiento de personal Excepciones a las Normas Seguridad en las
Actualizaciones Entrenamiento a los
Empleados 13
Normas de SeguridadSeguridad Lógica
22/04/23
Departamento de Sistemas Software y Datos Nuevas Aplicaciones Manejo de Cuentas
Inactivas Acceso de los usuarios Acceso de Agentes
Externos Recuperación de Desastres Backup
14
Normas de SeguridadSeguridad Logica
22/04/23
6.1 Sistema Operativo 6.2 Base de Datos 6.3 Aplicación 6.4 Comunicaciones
15
Barreras de Seguridad
22/04/23
6.1 Sistema Operativo
6.2 Base de Datos 6.3 Aplicacion
16
Barreras de SeguridadSistema Operativo
22/04/23
6.1 Sistema Operativo
6.2 Base de Datos 6.3 Aplicación
17
Barreras de SeguridadBase de Datos
22/04/23
Adquirir un software o desarrollar un Sistema de Información, que permita la administración de la seguridad del Sistema de manera centralizada, garantizando confidencialidad, integridad de los datos, oportunidad, disponibilidad, consistencia, control, auditoria. Este software o desarrollo debe ser la base para el manejo de la seguridad al nivel de todos los futuros desarrollos
18
AplicaciónObjetivo General
22/04/23
Adquirir o desarrollar una herramienta de manejo intuitivo y de tecnología abierta
Centralizar y controlar administración de usuarios Registro de las transacciones de cada usuarios Sistema eficiente de control y creación de usuarios. Chequear y registrar los mas recientes ingresos por
usuario, dar de baja cuentas no usadas durante un determinado período de tiempo
19
Aplicación Objetivos Específicos
22/04/23
Proveer un sistema de Monitoreo, auditoría y evaluación para problemas de seguridad.
Controlar el acceso por perfiles de usuario. Diseñar controles para la creación de las
contraseñas Restricción de acceso en tres niveles Generar procesos de cambio regular de
contraseñas y anexo de rutinas de verificación de su complejidad.
Registrar log de accesos y eventos sobre opciones y procesos críticos 20
Aplicación Objetivos Específicos
22/04/23
21
Aplicación Admón. de Contraseñas
Aplicación de políticas y estándares de contraseñas. Manejo de Cuentas Viejas y Expiración Escaneo de intentos de login fallidos Sincronización de las contraseñas Detectar contraseñas cambiadas por vías diferentes. Registro de información de cambios encontraseñas. Utilización de las fechas de expiración de las
cuentas Manejo de cuentas inactivas o sin uso
22/04/23
22
Aplicación Auditoria
Información de usuarios ejecutando la aplicación Tiempo de conexión de los usuarios activos Registro de las actividades. Para accesos no autorizados posibilidad de rastrear
como fue habilitado para tal acceso Registro de intentos de uso de privilegios del sistema,
sentencias SQL u operaciones sobre objetos. Registro no solo de las ventanas alteradas sino de las
campos específicos al igual que el anterior valor Alerta en tiempo real a personal clave sobre la
alteración de campos altamente sensitivos.
22/04/23
23
Aplicación admón. de Políticas
Verificación de usuarios no autorizados con acceso a información critica
Registro de quienes poseen los mas altos privilegios Registro de información o procesos accesible por
fuera de la aplicación Verificación de usuarios y los roles. Eliminación o bloqueo temporal de Usuarios. Auditoría sobre los accesos a las opciones. Auditoría sobre la ejecución de procesos críticos. Opción de revocar los privilegios detectados como no
autorizados